E-Mail-Adressen und Geltungsbereich der DSGVO

E-Mail-Adressen und Geltungsbereich der DSGVO

Allgemeine Datenschutzverordnung

Auf der 25th Mai tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft. Mit der Einführung der DSGVO wird der Schutz personenbezogener Daten immer wichtiger. Unternehmen müssen beim Datenschutz immer strengere Regeln beachten. Durch die Einführung der DSGVO stellen sich jedoch verschiedene Fragen. Für Unternehmen kann es unklar sein, welche Daten als personenbezogene Daten gelten und in den Anwendungsbereich der DSGVO fallen. Dies ist bei E-Mail-Adressen der Fall: Gilt eine E-Mail-Adresse als personenbezogene Daten? Unterliegen Unternehmen, die E-Mail-Adressen verwenden, der DSGVO? Diese Fragen werden in diesem Artikel beantwortet.

Persönliche Daten

Um die Frage zu beantworten, ob eine E-Mail-Adresse als personenbezogene Daten anzusehen ist, muss der Begriff personenbezogener Daten definiert werden. Dieser Begriff wird in der DSGVO erklärt. Personenbezogene Daten sind gemäß Art. 4 lit. a DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten oder zu einer Online-Kennung identifiziert werden kann. Personenbezogene Daten beziehen sich auf natürliche Personen. Informationen über verstorbene Personen oder juristische Personen gelten daher nicht als personenbezogene Daten.

E-Mail-Adresse

Nachdem nun die Definition von personenbezogenen Daten festgelegt ist, muss geprüft werden, ob eine E-Mail-Adresse als personenbezogene Daten anzusehen ist. Die niederländische Rechtsprechung weist darauf hin, dass E-Mail-Adressen möglicherweise personenbezogene Daten sein können, dies jedoch nicht immer der Fall ist. Es kommt darauf an, ob eine natürliche Person anhand der E-Mail-Adresse identifiziert oder identifizierbar ist.[1] Um festzustellen, ob die E-Mail-Adresse als personenbezogene Daten angesehen werden kann, ist die Strukturierung der E-Mail-Adressen von Personen zu berücksichtigen. Viele natürliche Personen strukturieren ihre E-Mail-Adresse so, dass die Adresse als personenbezogene Daten anzusehen ist. Dies ist beispielsweise der Fall, wenn eine E-Mail-Adresse wie folgt aufgebaut ist: [E-Mail geschützt] Diese E-Mail-Adresse enthält den Vor- und Nachnamen der natürlichen Person, die die Adresse verwendet. Somit kann diese Person anhand dieser E-Mail-Adresse identifiziert werden. Auch E-Mail-Adressen, die für geschäftliche Aktivitäten verwendet werden, können personenbezogene Daten enthalten. Dies ist der Fall, wenn eine E-Mail-Adresse wie folgt aufgebaut ist: [E-Mail geschützt] Aus dieser E-Mail-Adresse kann abgeleitet werden, wie die Initialen der Person sind, die die E-Mail-Adresse verwendet, wie ihr Nachname lautet und wo diese Person arbeitet. Daher ist die Person, die diese E-Mail-Adresse verwendet, anhand der E-Mail-Adresse identifizierbar.

Eine E-Mail-Adresse gilt nicht als personenbezogene Daten, wenn aus ihr keine natürliche Person identifiziert werden kann. Dies ist der Fall, wenn beispielsweise die folgende E-Mail-Adresse verwendet wird: [E-Mail geschützt] Diese E-Mail-Adresse enthält keine Daten, aus denen sich eine natürliche Person identifizieren lässt. Allgemeine E-Mail-Adressen, die von Unternehmen verwendet werden, wie [E-Mail geschützt], gelten ebenfalls nicht als personenbezogene Daten. Diese E-Mail-Adresse enthält keine personenbezogenen Daten, aus denen sich eine natürliche Person identifizieren lässt. Darüber hinaus wird die E-Mail-Adresse nicht von einer natürlichen Person, sondern von einer juristischen Person verwendet. Sie gelten daher nicht als personenbezogene Daten. Aus der niederländischen Rechtsprechung kann geschlossen werden, dass E-Mail-Adressen personenbezogene Daten sein können, dies ist jedoch nicht immer der Fall; es hängt von der Struktur der E-Mail-Adresse ab.

Es besteht eine große Chance, dass natürliche Personen anhand der von ihnen verwendeten E-Mail-Adresse identifiziert werden können, wodurch E-Mail-Adressen zu personenbezogenen Daten werden. Um E-Mail-Adressen als personenbezogene Daten einzustufen, ist es unerheblich, ob das Unternehmen die E-Mail-Adressen tatsächlich verwendet, um die Nutzer zu identifizieren. Auch wenn ein Unternehmen die E-Mail-Adressen nicht zur Identifizierung natürlicher Personen verwendet, gelten die E-Mail-Adressen, aus denen natürliche Personen identifiziert werden können, dennoch als personenbezogene Daten. Nicht jede technische oder zufällige Verbindung zwischen einer Person und Daten reicht aus, um die Daten als personenbezogene Daten zu bezeichnen. Besteht jedoch die Möglichkeit, dass die E-Mail-Adressen verwendet werden, um die Nutzer zu identifizieren, beispielsweise um Betrugsfälle aufzudecken, gelten die E-Mail-Adressen als personenbezogene Daten. Dabei spielt es keine Rolle, ob das Unternehmen die E-Mail-Adressen für diesen Zweck verwenden wollte oder nicht. Das Gesetz spricht von personenbezogenen Daten, wenn die Möglichkeit besteht, dass die Daten für einen Zweck verwendet werden können, der eine natürliche Person identifiziert.[2]

Besondere personenbezogene Daten

E-Mail-Adressen gelten zwar meistens als personenbezogene Daten, es handelt sich jedoch nicht um besondere personenbezogene Daten. Besondere personenbezogene Daten sind personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder Handelszugehörigkeit hervorgehen, sowie genetische oder biometrische Daten. Dies ergibt sich aus Artikel 9 DSGVO. Außerdem enthält eine E-Mail-Adresse weniger öffentliche Informationen als beispielsweise eine Privatadresse. Es ist schwieriger, Kenntnis von der E-Mail-Adresse einer Person zu erlangen als von ihrer Privatadresse, und es hängt zu einem großen Teil vom Benutzer der E-Mail-Adresse ab, ob die E-Mail-Adresse veröffentlicht wird oder nicht. Darüber hinaus hat das Auffinden einer E-Mail-Adresse, die verborgen bleiben sollte, weniger schwerwiegende Folgen als das Auffinden einer Privatadresse, die verborgen bleiben sollte. Es ist einfacher, eine E-Mail-Adresse zu ändern als eine Privatadresse, und das Auffinden einer E-Mail-Adresse könnte zu einem digitalen Kontakt führen, während das Auffinden einer Privatadresse zu einem persönlichen Kontakt führen könnte.[3]

Verarbeitung personenbezogener Daten

Wir haben festgestellt, dass E-Mail-Adressen in den meisten Fällen als personenbezogene Daten gelten. Die DSGVO gilt jedoch nur für Unternehmen, die personenbezogene Daten verarbeiten. Die Verarbeitung personenbezogener Daten umfasst jede Handlung mit personenbezogenen Daten. Dies ist in der DSGVO näher definiert. Verarbeitung personenbezogener Daten gemäß Art. 4 Abs. 2 DSGVO ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten. Beispiele sind das Erheben, Erfassen, Organisieren, Strukturieren, Speichern und Verwenden von personenbezogenen Daten. Wenn Unternehmen die oben genannten Aktivitäten in Bezug auf E-Mail-Adressen durchführen, verarbeiten sie personenbezogene Daten. In diesem Fall unterliegen sie der DSGVO.

Fazit

Nicht jede E-Mail-Adresse gilt als personenbezogene Daten. E-Mail-Adressen gelten jedoch als personenbezogene Daten, wenn sie identifizierbare Informationen über eine natürliche Person enthalten. Viele E-Mail-Adressen sind so strukturiert, dass die natürliche Person, die die E-Mail-Adresse verwendet, identifiziert werden kann. Dies ist der Fall, wenn die E-Mail-Adresse den Namen oder den Arbeitsplatz einer natürlichen Person enthält. Daher werden viele E-Mail-Adressen als personenbezogene Daten betrachtet. Für Unternehmen ist es schwierig, zwischen E-Mail-Adressen, die als personenbezogene Daten gelten, und E-Mail-Adressen, die dies nicht sind, zu unterscheiden, da dies ausschließlich von der Struktur der E-Mail-Adresse abhängt. Daher kann man mit Sicherheit sagen, dass Unternehmen, die personenbezogene Daten verarbeiten, auf E-Mail-Adressen stoßen, die als personenbezogene Daten gelten. Das bedeutet, dass diese Unternehmen der DSGVO unterliegen und eine DSGVO-konforme Datenschutzerklärung implementieren sollten.

[1] ECLI:NL:GHAMS:2002:AE5514.

[2] Kamerstukken II 1979/80, 25 892, 3 (MvT).

[3] ECLI:NL:GHAMS:2002:AE5514.

Datenschutzeinstellungen
Wir verwenden Cookies, um Ihre Erfahrungen mit unserer Website zu verbessern. Wenn Sie unsere Dienste über einen Browser nutzen, können Sie Cookies über die Einstellungen Ihres Webbrowsers einschränken, blockieren oder entfernen. Wir verwenden auch Inhalte und Skripte von Dritten, die Tracking-Technologien verwenden. Sie können Ihre Einwilligung unten ausdrücklich angeben, um das Einbetten solcher Drittanbieter zu ermöglichen. Um vollständige Informationen über die von uns verwendeten Cookies, die von uns gesammelten Daten und deren Verarbeitung zu erhalten, besuchen Sie bitte unsere Datenschutz
Law & More B.V.